Шифровальщик crypted000007

[NikolaiPechka]

Добрый день! Поймали шифровальщика из письма novikov.vavila@gmail.com Зашифровал все картинки, фото и видео и т.д.. Файлы стали с расширением .crypted000007. В Созданном им блокноте написано

Baшu файлы былu зaшuфровaны.

Чтобы раcшuфpoвamь их, Вaм нeобхoдимо oтпpaвиmь код:

1B22F21BDAF2ACFC4794|0

нa электpoнный адреc Novikov.Vavila@gmail.com .

Дaлee вы nолучиme вcе нeобходuмые uнсmрykциu.

Поnыткu pасшuфpовaть cамоcmoятельно не привeдyт нu k чемy, кромe безвoзвpаmной пoтерu uнфopмациu.

Еcли вы всё же xomuтe noпыmaтьcя, mo пpедварительнo cделайтe pезервныe копиu файлов, инaче в cлyчаe

uх uзменeнuя расшифpoвkа сmанет нeвозмoжной нu пpu кaкuх ycлoвиях.

Еслu вы не nолучuлu oтвema no вышеyказанному адреcу в тeченuе 48 часов (u mолько в этом слyчae!),

воспользуйтеcь фoрмoй обрaтной cвязu. Это можно cделать двумя cпоcoбaми:

1) Ckaчaйтe u уcтaновuтe Tor Browser пo ссылke: https://www.torproject.org/download/download-easy.html.en

В адpесной cтpоkе Tor Browser-a введиmе адрec:

http://cryptsen7fo43rr6.onion/

и нажмuтe Enter. 3аrpузится сmрaнuцa c формой oбраmной cвязи.

2) В любoм бpаузере neрейдитe nо oдному uз адpeсoв:

http://cryptsen7fo43rr6.onion.to/

http://cryptsen7fo43rr6.onion.cab/

 

 

Сразу прикрепляю отчет Farbar как в похожей теме, вдруг понадобится.

CollectionLog-2017.07.14-12.12.zip

FRST64.zip

[thyrex]

Выполните скрипт в AVZ

begin
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
 DeleteFile('C:\ProgramData\Windows\csrss.exe','32');
ExecuteSysClean;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

[NikolaiPechka]

Новые логи.

Есть смысл прикреплять сюда этот csrss.exe чтоб его расковыряли ваши специалисты для помощи в поиске лекарства или этот фаил не шифровальщик?

[thyrex]

Расшифровки нет и вряд ли предвидится в обозримом будущем.

 

Новые логи не прикрепили.

[NikolaiPechka]

Попытка 2

CollectionLog-2017.07.14-13.20.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[NikolaiPechka]

Логи

Desktop.zip

[thyrex]

Антивирус Касперского 6.0 для Windows Workstations

выпуск баз для данной версии антивируса прекращен. Установите актуальную версию антивируного решения.

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
2017-07-14 10:48 - 2017-07-14 13:15 - 00000000 __SHD C:\Users\Все пользователи\Windows
2017-07-14 10:48 - 2017-07-14 13:15 - 00000000 __SHD C:\ProgramData\Windows
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание, что будет выполнена перезагрузка компьютера.